Коллеги,доброго времени суток.

такая фигня -

Nov 19 21:52:46.801: COA: 172.16.5.45 request queued
Nov 19 21:52:46.801: COA: Illegal authenticator in COA from 172.16.5.45 using aaa_secret = cisco

Кто сталкивался ?
Такое ощущение , что радиус при отправке в cisco пакета CoA (code 43) не правильно считает MD5 authenticator ((
У шлю програмулиной Radius Test , другой нет под рукой .. всё перерыл (
Она по моему считает authenticator как для Accounting пакета , там нельзя поменять (

А в RFC написано -

Request Authenticator

      In Request packets, the Authenticator value is a 16 octet MD5
      [RFC1321] checksum, called the Request Authenticator.  The Request
      Authenticator is calculated the same way as for an Accounting-
      Request, specified in [RFC2866].

      Note that the Request Authenticator of a Disconnect or CoA-Request
      cannot be done the same way as the Request Authenticator of a
      RADIUS Access-Request, because there is no User-Password Attribute
      in a Disconnect-Request or CoA-Request.

Может кто сталкивался ? или подскажет програмулину , где можно сформировать Radius запросы нормально ?

• CoA пакет в RADIUS !!! help !!,nikl, 09:08 , 20-Ноя-07
  • CoA пакет в RADIUS !!! help !!,ATeam, 11:24 , 20-Ноя-07
    • CoA пакет в RADIUS !!! help !!,nikl, 12:19 , 20-Ноя-07
      • CoA пакет в RADIUS !!! help !!,ATeam, 12:25 , 20-Ноя-07
        • CoA пакет в RADIUS !!! help !!,nikl, 13:50 , 20-Ноя-07
          • CoA пакет в RADIUS !!! help !!,ATeam, 14:00 , 20-Ноя-07
          • CoA пакет в RADIUS !!! help !!,ATeam, 16:15 , 20-Ноя-07
            • CoA пакет в RADIUS !!! help !!,nikl, 17:18 , 20-Ноя-07
              • CoA пакет в RADIUS !!! help !!,ATeam, 17:29 , 20-Ноя-07
                • CoA пакет в RADIUS !!! help !!,ATeam, 18:09 , 20-Ноя-07
                  • CoA пакет в RADIUS !!! help !!,ATeam, 20:04 , 20-Ноя-07

>Может кто сталкивался ? или подскажет програмулину , где можно сформировать Radius
>запросы нормально ?

radpwst

>>Может кто сталкивался ? или подскажет програмулину , где можно сформировать Radius
>>запросы нормально ?
>
>radpwst

а какой ставить ?
там три в комплекте ?

к тому же что то в атрибутах команды radpwst не указать ни атрибутов дополнительных , ни тип пакета (для CoA 43) ...(((

>>>Может кто сталкивался ? или подскажет програмулину , где можно сформировать Radius
>>>запросы нормально ?
>>
>>radpwst
>
>а какой ставить ?
>там три в комплекте ?

где "там" ? я не знаю, о каком вы говорите.
>
>
>к тому же что то в атрибутах команды radpwst не указать ни
>атрибутов дополнительных , ни тип пакета (для CoA 43) ...(((

usage: /usr/local/bin/radpwtst [-h] [-time] [-iterations n]
          [-trace [level]] [-s server] [-secret secret]
          [-noauth] [-noacct][-nostart] [-nostop] [-status]
          [-chap] [-mschap] [-mschapv2] [-eapmd5] [-eapotp] [-eapgtc] [-eaphex]
          [-accton] [-acctoff] [-framed_ip_address address]
          [-auth_port port] [-acct_port port] [-identifier n]
          [-user username] [-password password] [-nas_ip_address address]
          [-nas_port port] [-nas_port_type type] [-service_type service]
          [-calling_station_id string] [-called_station_id string]
          [-session_id string] [-interactive]
          [-delay_time n] [-session_time n] [-input_octets n]
          [-output_octets n] [-timeout n] [-dictionary file,file]
          [-gui] [-class string] [-useoldascendpasswords]
          [-code requestcode] [-raw data] [-rawfile filename]
          [-rawfileseq filename]
          [-outport port] [bind_address dotted-ip-address]
          [attribute=value]...

Имхо, что угодно можно зафигачить...

>[оверквотинг удален]
>string] [-useoldascendpasswords]
>          [-code requestcode]
>[-raw data] [-rawfile filename]
>          [-rawfileseq filename]
>
>          [-outport port]
>[bind_address dotted-ip-address]
>          [attribute=value]...
>
>Имхо, что угодно можно зафигачить...

ну в комплекте идут -
RAD-Series
Merit
Steel-Belted

http://www.junipernetworks.ru/techpubs/software/management/s...

или при утсановке любого , там будет модуль radpwst ?
Хорошо , параметров у команды много , а тип пакета можно указать ? что то я не вижу в параметрах (

>[оверквотинг удален]
>>          [-outport port]
>>[bind_address dotted-ip-address]
>>          [attribute=value]...
>>
>>Имхо, что угодно можно зафигачить...
>
>ну в комплекте идут -
>RAD-Series
>Merit
>Steel-Belted

В комплекте ЧЕГО?
>
>http://www.junipernetworks.ru/techpubs/software/management/s...
>
>
>или при утсановке любого , там будет модуль radpwst ?

никто не мешает поставить и проверить
>Хорошо , параметров у команды много , а тип пакета можно указать ?

radpwtst
-s x.x.x.x
-secret cisco
-noauth
-noacct
-code Change-Filter-Request
User-Name=UserA
Framed-IP-Address=y.y.y.y
Acct-Session-Id=1C
Service-Info ="QU;10000;5000;6000;D;10000;5000;6000"
и так далее

Вот еще почитайте http://www.cisco.com/en/US/products/ps6566/products_configur...

>[оверквотинг удален]
>-noauth
>-noacct
>-code Change-Filter-Request
>User-Name=UserA
>Framed-IP-Address=y.y.y.y
>Acct-Session-Id=1C
>Service-Info ="QU;10000;5000;6000;D;10000;5000;6000"
>и так далее
>
>Вот еще почитайте http://www.cisco.com/en/US/products/ps6566/products_configur...

ТАк это уже у меня настольная книга ((
просто мне не удётся с помощью Radius Test отправить СoA пакет (( вот и ищё откуда можно такой пакет заслать (
В RFC указан например порт 3799 , а циска на 1700 реагирует ... и нигде больше про это ни сказано ...
пошёл ставить Radius , попробую ... спасибо большое за подсказки

>[оверквотинг удален]
>-noauth
>-noacct
>-code Change-Filter-Request
>User-Name=UserA
>Framed-IP-Address=y.y.y.y
>Acct-Session-Id=1C
>Service-Info ="QU;10000;5000;6000;D;10000;5000;6000"
>и так далее
>
>Вот еще почитайте http://www.cisco.com/en/US/products/ps6566/products_configur...

осталась маленькая проблема ((( где скачать это добро ((

>[оверквотинг удален]
>>-code Change-Filter-Request
>>User-Name=UserA
>>Framed-IP-Address=y.y.y.y
>>Acct-Session-Id=1C
>>Service-Info ="QU;10000;5000;6000;D;10000;5000;6000"
>>и так далее
>>
>>Вот еще почитайте http://www.cisco.com/en/US/products/ps6566/products_configur...
>
>осталась маленькая проблема ((( где скачать это добро ((

Посмотрите в районе http://www.open.com.au/, там можно скачать демо программы Radiator, внутри должен быть нужный вам объект. Если не будет - как-нибудь придумаем..

>[оверквотинг удален]
>>>Acct-Session-Id=1C
>>>Service-Info ="QU;10000;5000;6000;D;10000;5000;6000"
>>>и так далее
>>>
>>>Вот еще почитайте http://www.cisco.com/en/US/products/ps6566/products_configur...
>>
>>осталась маленькая проблема ((( где скачать это добро ((
>
>Посмотрите в районе http://www.open.com.au/, там можно скачать демо программы Radiator, внутри должен
>быть нужный вам объект. Если не будет - как-нибудь придумаем..

СПасибо большое)
Я пока поставил FREERADIUS на пустую машину для стенда , кажись заработало ...
разбираюьс дальше уже с атрибутами !)

>[оверквотинг удален]
>>>
>>>осталась маленькая проблема ((( где скачать это добро ((
>>
>>Посмотрите в районе http://www.open.com.au/, там можно скачать демо программы Radiator, внутри должен
>>быть нужный вам объект. Если не будет - как-нибудь придумаем..
>
>СПасибо большое)
>Я пока поставил FREERADIUS на пустую машину для стенда , кажись заработало
>...
>разбираюьс дальше уже с атрибутами !)

что то опять туплю ((

Nov 20 18:02:59.152: RADIUS(00000000): Send CoA Nack Response to 172.16.5.57:32787 id 135, len 162
Nov 20 18:03:47.468: COA: 172.16.5.57 request queued
Nov 20 18:03:47.468: RADIUS:  authenticator BE 14 47 73 1F F7 FF 3D - 77 26 C9 DA E4 FA 4B 9E
Nov 20 18:03:47.468: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Nov 20 18:03:47.468: RADIUS:  Vendor, Cisco       [26]  19  
Nov 20 18:03:47.468: RADIUS:   ssg-account-info   [250] 13  "S172.16.4.4"
Nov 20 18:03:47.468: RADIUS:  Vendor, Cisco       [26]  11  
Nov 20 18:03:47.468: RADIUS:   ssg-command-code   [252] 5  
Nov 20 18:03:47.468: RADIUS:   30 78 34               [Unknown 0x4]
Nov 20 18:03:47.468: RADIUS:  Vendor, Cisco       [26]  12  
Nov 20 18:03:47.468: RADIUS:   ssg-command-code   [252] 6  
Nov 20 18:03:47.468: RADIUS:   30 78 34 26              [Unknown 0x4&]
Nov 20 18:03:47.468: RADIUS:  Vendor, Cisco       [26]  12  
Nov 20 18:03:47.468: RADIUS:   ssg-command-code   [252] 6  
Nov 20 18:03:47.468: RADIUS:   34 22 31 22              [Unknown 4"1"]
Nov 20 18:03:47.468: RADIUS:  Vendor, Cisco       [26]  13  
Nov 20 18:03:47.468: RADIUS:   ssg-command-code   [252] 7  
Nov 20 18:03:47.468: RADIUS:   34 22 30 22 26             [Unknown 4"0"&]
Nov 20 18:03:47.468: RADIUS:  Vendor, Cisco       [26]  32  
Nov 20 18:03:47.468: RADIUS:   ssg-account-info   [250] 26  "N"1"SERVICE_401_INTERNET"
Nov 20 18:03:47.468:  ++++++ CoA Attribute List ++++++
Nov 20 18:03:47.468: 05D9AA50 0 00000001 service-type(295) 4 Framed
Nov 20 18:03:47.468: 05D9AAB8 0 00000009 ssg-account-info(418) 11 S172.16.4.4
Nov 20 18:03:47.468: 05D9AAC8 0 00000009 ssg-command-code(420) 3 30 78 34
Nov 20 18:03:47.468: 05D9AAD8 0 00000009 ssg-command-code(420) 4 30 78 34 26
Nov 20 18:03:47.468: 05D9AAE8 0 00000009 ssg-command-code(420) 4 34 22 31 22
Nov 20 18:03:47.468: 05D9AAF8 0 00000009 ssg-command-code(420) 5 34 22 30 22 26
Nov 20 18:03:47.468: 05D9AD90 0 00000009 ssg-account-info(418) 24 N"1"SERVICE_401_INTERNET

В каком виде command-code отправлять ?
в мануале написано 0х4 и тому подобное , так не воспринимает ((

>[оверквотинг удален]
>
>Nov 20 18:03:47.468: 05D9AAF8 0 00000009 ssg-command-code(420) 5 34 22 30 22
>26
>Nov 20 18:03:47.468: 05D9AD90 0 00000009 ssg-account-info(418) 24 N"1"SERVICE_401_INTERNET
>
>
>
>В каком виде command-code отправлять ?
>в мануале написано 0х4 и тому подобное , так не воспринимает ((
>

доломал мозг , но сделал )) !!!
cisco-avpair = "subscriber:command=account-status-query"  -  в таком виде работает !

если делать -
command-code = "0420" или подобное , то нэ лэзэт !(